关于UPX脱壳后程序无法运行
先查壳UPX 利用ESP定律
下断点运行后到这里
发现大跳转
这应该就是OEP了吧
Delphi的入口
用LORDPE转存 已经修正镜像大小
然后利用IMP修复
完成 查壳
Delphi程序 打开看看能不能运行
不能!!!{:5_191:} 用upx各种脱壳机
脱脱脱 还是一样的!!!
考虑到自校验
看了第一期第四课
用GetFilesize下断点
发现不是断在oleaut函数或者kernel函数
{:5_191:}{:5_191:}{:5_191:}{:5_191:}
麻烦大牛了
链接:http://pan.baidu.com/s/1cnNnX0 密码:24ao
本帖最后由 haier8917 于 2017-7-10 13:29 编辑
313503791 发表于 2017-7-10 10:30
经过尝试 发现004FA7FC处的还有 如果用nop填充掉的话 就会跳第二个窗口
此程序的文件验证有点麻烦::::在程序地址的4e7b4a的CALL里调用了多个CALL,最后经过N个系统领空后调用了FindFirstFileA的姊妹函数FindFirstFileW获取了文件的大小的信息,然后程序后面把这个信息经过了一系列操作,最后经过地址4e7b55这个CALL处理后返回了文件大小并把这个文件大小存放于515F18这个地址处,因为程序运行的时候多处验证。。。。所以,我们就赋值法,改的方法有如下两个::
1.把程序往这个地址写数据处的代码nop掉,地址在4e7b5a(让它的大小就为0,但此操作有的程序仍过不了自校验,因为文件大小永远不可能为0)
2.把程序获得文件大小进行偷梁换柱,也就是把他获得文件大小那段代码改为mov eax,10000,地址在4e7b55
另外,卡死的原因应该是程序自校验通不过后的死循环(CPU占用率在我的电脑上达50%)。。。。。
神器镇楼神器镇楼神器镇楼{:6_219:} 米其林轮胎 发表于 2017-7-7 22:50
神器镇楼神器镇楼神器镇楼
我用这个脱壳机试过 没用 一样会卡在这个界面 直接爆破就好了啊 upx又不是强壳 直接打补丁就好了
609140562 发表于 2017-7-8 02:01
直接爆破就好了啊 upx又不是强壳 直接打补丁就好了
大佬如果你有空能不能讲一下😭😭😭 此程序可能有自校验,需要解除自校验 haier8917 发表于 2017-7-8 09:11
此程序可能有自校验,需要解除自校验
下什么断点呢 我用过对比 用过改大小 都不行
你和壳较劲应该比逆向费事 和壳较什么劲呢,不脱壳,一样逆向啊